Chapter 9 Viruses 
Chapter 9 الفصل إلتاسع‎ 
Vİiآuںئیع؟ الفیروسات‎ 


(Viruses and Related Threats) Aئصlا الفيروسات و التهديدات ذات‎ 
„(Malicious Programs) ۂiıبخئا البرامج‎ 
.(The Nature of Viruses) ٽIسوريفلl طبيعة‎ 
„(Antivirus Approaches) تIسوريفلا ه مفاهيم مضادات‎ 
„(Advanced Antivirus Tech niques) ةaدقتnll تقنيات مضادات الفيروسات‎ ٠ه‎ 


مقدمة ٠‏ 
ه أن أغلب انواع التهديدات على آنظمة الحاسوب تتمثل هة في البرامج التي تستغل نقاط الضعف في الآنظمة الحاسوبية. 
ه و سنركز في هذا السياق على برامج التطبيق (ك«_وإعءهإ۴ «٥1ادءاممA)‏ و البرامج المساعدة ( Utility‏ 
r2n6ع0oاP)‏ › مثل : المحررات (۶إ٥)d1م)‏ و المترجمات (۶إ[زمmp٥c).‏ 


البرامج ائخبيıڎۂ „(Malicious Programs)‏ 
يقدم الشكل التالي تصنيفاً كلياً للتهديدات البرمجية ( أو البرامج الخبيثة). 
يمكن تصنيف هذه التهديدات إلى صنفين : 


e‏ . في الأساس تكون عبارة عن أجزاء لبرامج لا يمكن أن توجد بشكل مستقل عن بعض برامج التطبيق الحقيقية. أو 
البرامج المساعدة أو برامج النظام. 


برامج خبيثة مستقلة :(Independent malicious programs)‏ 
ه هي برامج ذات محتوى ذاتي يمكن جدولتها و تشغليها من قبل نظام التشغيل. 


و هناك تصنيف آخر لهذه التهديدات من حيث تكرارها لنفسها و عدم تكرارها: 
برامج خبيث ێڵ تکرر iضId :(Non-replicate malicious prosrams)‏ 
ه و هي عبارة عن أجزاء من برامج يتم تنشطيها عندما يتم نداء البرنامج المضيف لإنجاز عملية معينة. 


برامج خبيثة تکرر :(Replicate malicious prosrams) li‏ 
ه و هي تتکون من جزء من برنامج (یں1ں) أو قد تکون برنامجاً مستقلا w0٥۲ ٥(‏ ,14ام٤cھط).‏ 
ه و عند تنفيذ هذه البرامج قد تنتج نسخة أو اكثر من نفسها بغرض تفعيلها في نفس النظام أو في نظام اخر. 


ه بامكانك الاستعانة بالشكل التالي لفهم التصنيفات السابقة. 
ه و سنعتمد على هذا الشكل في تنظيم المعلومات التي سنناقشها. 
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الأبواب الخلفية (ءإم00_ موإ]): 
ه هو عبارة عن نقطة دخول سرية للبرنامج › تسمح لأي شخص مدرك لهذا ال (٥مل‏ م۲۲۵) أن يحصل على حق 
الوصول بدون المرور عبر إجراءات الوصول السرية. 
استخدمت قدیماً لتنقيح و اختبار البرامج. 
تحولت ال (rsممd‏ مpھ٣آ)‏ إلى مهددات عندما استخدمت بواسطة المبرمجين عديمي الضمير و ذلك بغرض 
الحصول على وصول غير مصرح به. 


القنبلة المنطقية (ط 80n‏ ءأو0): 
هي واحدة من أقدم أنواع المهددات البرمجيةء حيث آنها سبقت ال (esوںاذ)‏ و ال (؟صرإمس). 

و هي عبارة عن كود مضمن في برنامج شرعي يكون مضبوط في وضع الانفجار عند تحقق شروط معينة. 

من الأمثلة على هذه الشروط ( وجود أو غياب ملفات معينة ) أو ( الوصول إلى يوم معين من الأسبوع أو تأريخ محدد ) أو 
( عندما يكون المستخدم شخص محدد ). 

يمكن لهذه القنبلة أن تغير أو تحذف البيانات أو حتى الملفات برمتها > كذلك قد تسبب في 
توقف الآلة» أو حدوث أي دمار من نوع آخر. 
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هو عبارة عن برنامج أو آمر إجرائي ذو فائدة « أو لنقل ذو فائدة ظاهرية. 

يحتوي هذا البرنامج على شفرة مخفية (ءلهء ”ء14dط).‏ 

عندما يتم نداء هذه الشفرة» فإنها تقوم بعمليات غير مرغوبة و ضارة. 

یمکن استخدام برامج ال )٣۲ ٥ز ۳۴1 0۲5٥(‏ للقيام بالوظائف التي لا يمكن لمستخدم غير مصرح له بتنفيذها 
مباشرة و ذلك عن طريق تنفيذها بشكل غير مباشر (مثلاء الحصول على حق الوصول لملفات مستخدم آخر في 
نظام مشترك). 

مثال على (٥ا0‏ 8 "ھ٥۲۲)‏ لا یمکن اکتشافه: | 

ال (compiler)‏ الذي تم تعدیله بحیث یدخل كود إضافي إلى برامج معبنة أثناء دخولها في عمليه ال 
(compiling)‏ > مثل برنامج الدخول في النظام „(system login progra m(‏ 

يقوم هذا الكود بعمل (إا0مل مه٠))‏ في ال (إ4١إع٠إم‏ «ذعه!1) و الذي يسمح للمصدر بأن يدخل النظام باستخدام 
كلمة مرور خاصة. 

لا یمکن اکتشاف هذا ال (٥ءا0 ٣‏ «ھز٠٣٣)‏ عن طريق قراءة الكود المصدر ي لل (إ۲4إعهام «اعه!). 


و هذه البرامج مدمرة للبيانات › فبالرغم من ظهور البرنامج على آنه ينجز وظيفة مفيدة ( مثل برنامج الحاسبة ) 


:)۷ ¡i uو¢s( الفيروسات‎ 


هو عبارة عن برنامج يمكنه أن "يعدي" برامج أخرى عن طريق تعديلها: و هذا التعديل يتضمن نسخة من برنامج 
ال )۷1us(‏ و التي يمكنها بعد ذلك أن تعدي برامج أخرى. 

الفيروسات البيولوجية هي عبارة عن نفايات صغيرة جد ناتجة من شفرة جينية (حامض ال N۸‏ أو ال 
4)» و هي تتولى الآلية التي تنتهجها الخلية الحية و د تقوم بخداعها بحيث تعمل الالاف من النسخ للفيروس 
الأصلي و التي لا عيب فيها. 

الفيروسات الحاسوبية تحمل في شفرتها الد لتعليمية الوصفة التي تتمكن من خلالها من عمل نسخة كاملة لنفسها. 
يتحكم الفيروس بشكل موقت بنظام تشغيل الأقراص (008)» و عندما يحصل أي اتصال بين الحاسوب المصاب 
بالعدوى و أي قطعة برمجية غير مصابة بالعدوى» فإن نسخة جديدة من الفيروس سوف تنتقل إلى البرنامج 
الأجديد. 

و بالتالي» يمكن يمكن أن تنتشر العدوى من جهاز حاسوب إلى آخر بواسطة مستخدمين غير معنيين بعمليات الإضرار 
بالآخرين ( عن طريق تبادل الديسكات أو إرسال الملفات عبر الشبكة). 


الديدان (؟ص اه :)W‏ 
ه و هي برامج تستخدم الارتباطات الشبكية للانتشار من نظام إلى آخر. 


عندماتكون الدودة الشبكية (Network worm)‏ مفعلة فی نظام ماء فانها تعمل بشكل مشابه للفيروسات 


(e5یںاVi)‏ و البکتیریا (ھام٤cے8)‏ ۰ أو آنھا قد تزرع برامج ال ٣۴0۲٤ ٥(‏ ےز٥۲۲)‏ أو تقوم بعدد من الأحداث 
المزعجة و المدمرة. 
تستخدم الدودة الشبكية بعض أنواع المركبات الشبكية و ذلك بغرض مضاعفة 
نفسهاء و من الأمثلة على ذلك 
هح ميزة البريد الالكتروني :(Electronic mail facility)‏ 
ترسل الدودة نسخة من نفسها إلى الآنظمة الأخرى عبر البريد 
الإلكتروني. 
ده مقدرة التنفیذ عùj‏ بد )ilityږںcapab :(Remote execution‏ 
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:(Remote login capability) هح مقدرة الدخول عنù بذ‎ 
تدخل الدودة في نظام بعيد كمستخدم و من ثم تستخدم أوامر لنسخ نفسها من‎ 
نظام إلى آخر.‎ 
ه تظهر الدودة الشبكية نفس خصائص الفيروسات الحاسوبية:‎ 
«(Dormant phase) طور الخمول‎ 
.(Propagation phase) طور الانتشار‎ 
.(Triggering phase) طور الفد ج‎ 
.(Execution phase) ذيفiتلl طور‎ ٥ 
ه طور الانتشار (مووطم ٤روص"_إه0) تتم فيه الوظائف التالية:‎ 
ه البحث عن أنظمة أخرى من أجل نقل العدوى إليها عن طريق فحص ال (ءء1اطه) ٤4هط) أو أي مستودعات‎ 
تأسیس ارتباط مع النظام البعيد.‎ e 
نسخ نفسها إلى النظام البعيد و تشغيل هذه النسخة.‎ 0 
ه قد تحاول الدودة الشبكية أيضاً تحديد فيما إذا كان النظام قد أصيب بالعدوى سبقاً أم لا‎ 
ه كماهو الحال مع الفيروسات» فان مواجهة الدودة الشبكية يعد أيضاً مرا صعباً.‎ 


O0 O 0O 


البكتيريا (وذاء)cء۾8):‏ 

و هي عبارة عن برامج لا تقوم بشكل واضح بتدمير أي ملفات. 

الغرض الوحيد منها هو مضاعفة نفسها. 

برنامج البكتيريا العادي قد لا يقوم إلا بعملية نسختين من نفسه بشكل متزامن في نظام برمجة متعددة. 

أو قد يقوم بخلق ملفين جديدين كل منهما عبارة عن نسخة طبق الأصل لملف البكتيريا. 

كل هذه البرامج يمكنها بعد ذلك أن تنسخ نفسها مرتين› وهكذا. 

تحتل البكتيريا سعة المعالج و المساحة التخزينية في الذاكرة أو القرص» مما يعيق وصول لمستخدمين لهذه 
الموارد. 


:(Nature of Viruses) ٽIسgريفلا طبيعة‎ 

يمكن للفيروس أن يقوم بأي شيء تقوم به البرامج الأخرى. 

الفرق الوحيد هو أن الفيروس يقوم بإلحاق نفسه ببرنامج آخر و التنفيذ بشكل سري عندما يتم تشغيل ال ( مط 
.(program‏ 

في حال تنفيذ الفيروس» فإن بإمكانه إنجاز أي وظيفة: مثل مسح الملفات و البرامج. 


مراحل الدورة الحياتية للفيروس :(Virus lifetime stages)‏ 
طور ilخموJ :(Dormant phase)‏ 
ه يكون الفيروس متعطلا. | 
° سيتم تنشيط الفيروس بواسطة حدث ما > مثل ( التأريخ › وجود برنامج او ملف آأخر» تجاوز سعة الذاكرة 
لحد معين). 
ه لاتمر كل الفيروسات بهذه المرحلة. 
ه طور lلٺiتشlر :(Propagation phase)‏ 
٥ه‏ يقوم الفيروس بوضع نسخهة مطابقه له في برامج اخری او في مساحات 
نظام معينة داخل القرص. 
ه كل برنامج سيحتوي على نسخة من الفيروس»› و سيدخل بدوره في 
مرحلة الانتشار. 


©0 ©6 © © © O; 
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طور اد :(Triggering phase)‏ 
ه يتم تنشيط الفيروس للقيام بالوظيفة التي عُمِل من أجلها. 
المرات التي قام بها الفيروس بنسخ نفسه). 
طور التنفيذ :(Execution phase)‏ 
© يتم إنجاز الوظيفة. 
o‏ قد تكون وظيفة الفيروس ضارة» مثل ( رسالة على الشاشة ) أو دمارء مثل ( البرامج التدميرية و ملفات 
البيانات). 


بنية الفيروس :)ViİFUS SF UCU re)‏ 
ه يمكن أن يضاف الفيروس قبل أو بعد برنامج قابل للتنفيذ. 
٠‏ العملية الأساسية في الفيروس هي أنه عندما يتم نداء البرنامج المصاب بالعدوى» فإن شفرة الفيروس هي التي 
ستنفذ أولاً ثم بعد ذلك ستنفذ شفرة البرنامج الأصلي. 
e‏ في الشكل التالي : 
ه تم إضافة شفرة الفيروس»› ٠۷‏ قبل البرامج المصابة بالعدوى. 
ه تم افتراض أن نقطة الدخول للبرنامج عند نداءه هي أول سطر في البرنامج. 
ه أول سطر في الكود سيقفز بنا إلى برنامج الفيروس الرئيسي. | 
م السطر الثاني هو عبارة عن علامة خاصة يستخدمها الفيروس لتحديد فيما إذا كانت الضحية قد اصیبت 
بهذا الفيروس من قبل أم لا. 
0° عندما يتم نداء البرنامج» ينتقل التحكم فوراً إلى برنامج الفيروس الرئيسي. 
ه يبحث برنامج الفيروس أولاً عن ملفات قابلة للتنفيذ و يصيبها بالعدوى. 
ه بعد ذلك قد يقوم الفيروس بعمل حدث معين. هذا الحدث يمكن أن يتم في كل مرة يتم فيها نداء البرنامج» أو 
قد يكون هذا الحدث عبارة عن (طا" 80٥‏ ء1عه.]) تطلق تحث شروط معينة. 
ه أخيرآء ينقل الفيروس التحكم إلى البرنامج الرئيسي. 


program ww ;— 


f oto maim; 
lZA3ASO: 


subroutine 1n TFect-executablg :— 
f Toop: 
Ole :— ret-randlornmn-executable-fFle:; 
IF { First-line-oF-Tlce = 234567) 
then goto loop 


zlse prepencd YW to Fle: fF 


subroutine dlo-damage :— 


whatever damaze 1s to be done 1 


subroutine trig eer-pulllead :— 
return true 1F some condition holds } 


rra 2 main-prograry :— 


i imfect-execultalble:z 


IF trizzer-pulled then do-damaze: 


Eola TmEeExt; 
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